Ho batlisisa linyeoe tse amanang le phishing, botnets, litšebelisano tsa bolotsana le lihlopha tsa linokoane tsa linokoane, litsebi tsa Group-IB li 'nile tsa sebelisa tlhahlobo ea graph ka lilemo tse ngata ho tseba mefuta e sa tšoaneng ea likhokahano. Linyeoe tse fapaneng li na le lisebelisoa tsa tsona tsa data, li-algorithms tsa tsona tsa ho tsebahatsa likhokahano, le lihokelo tse etselitsoeng mesebetsi e itseng. Lisebelisoa tsena kaofela li entsoe ka hare ke Sehlopha-IB 'me li ne li fumaneha feela ho basebetsi ba rona.
Tlhahlobo ea kerafo ea lisebelisoa tsa marang-rang (kerafo ea marang-rang) e bile sesebelisoa sa pele sa ka hare seo re se entseng lihlahisoa tsohle tsa sechaba tsa k'hamphani. Pele re theha graph ea marang-rang a rona, re ile ra sekaseka lintlafatso tse ngata tse tšoanang 'marakeng mme ha rea ka ra fumana sehlahisoa se le seng se khotsofatsang litlhoko tsa rona. Sehloohong sena re tla bua ka hore na re thehile graph ea marang-rang joang, hore na re e sebelisa joang le hore na re kopane le mathata afe.
Dmitry Volkov, CTO Group-IB le hlooho ea cyber intelligence
Ke eng seo graph ea marang-rang ea Group-IB e ka se etsang?
Lipatlisiso
Ho tloha ha ho thehoa Group-IB ka 2003 ho fihlela joale, ho hloaea, ho nyenyefatsa le ho tlisa linokoane tsa marang-rang ka toka e bile ntho e ka sehloohong mosebetsing oa rona. Ha ho phuputso e le 'ngoe ea cyberattack e ileng ea phethoa ntle le ho hlahloba lisebelisoa tsa marang-rang tsa bahlaseli. Qalong ea leeto la rona, e ne e le "mosebetsi o boima oa matsoho" ho batla likamano tse ka thusang ho khetholla linokoane: tlhahisoleseling mabapi le mabitso a domain, liaterese tsa IP, menoana ea menoana ea li-server, jj.
Bahlaseli ba bangata ba leka ho sebetsa ka mokhoa o sa tsejoeng ka hohle kamoo ho ka khonehang marang-rang. Leha ho le joalo, joaloka batho bohle, ba etsa liphoso. Sepheo se seholo sa tlhahlobo e joalo ke ho fumana merero ea histori ea "tšoeu" kapa "grey" ea bahlaseli ba nang le litselana le mekhoa e kotsi e sebelisoang ketsahalong ea hona joale eo re e batlisisang. Haeba ho khoneha ho lemoha "merero e tšoeu", joale ho fumana mohlaseli, e le molao, ho fetoha mosebetsi o sa reng letho. Tabeng ea "bohlooho", ho batla ho nka nako le boiteko bo eketsehileng, kaha beng ba bona ba leka ho se tsejoe kapa ho pata lintlha tsa ngoliso, empa menyetla e ntse e le holimo haholo. E le molao, qalong ea liketso tsa bona tsa tlōlo ea molao, bahlaseli ha ba ele hloko tšireletso ea bona 'me ba etsa liphoso tse ngata, kahoo ha re ntse re teba ka ho teba pale, menyetla ea ho etsa lipatlisiso ka katleho e phahame. Ke ka hona graph ea marang-rang e nang le nalane e ntle e leng ntho ea bohlokoa haholo lipatlisisong tse joalo. Ka mantsoe a bonolo feela, data e tebileng ea nalane eo k'hamphani e nang le eona, e ntlafatsa graph ea eona. Ha re re nalane ea lilemo tse 5 e ka thusa ho rarolla, ho latela maemo, litlolo tsa molao tse 1-2 ho tse 10, mme nalane ea lilemo tse 15 e fana ka monyetla oa ho rarolla tsohle tse leshome.
Ho Fumana Phishing le Bomenemene
Nako le nako ha re fumana sehokelo se belaetsang sa sesebelisoa sa phishing, se qhekellang kapa sa bosholu, ka bohona re iketsetsa setšoantšo sa lisebelisoa tse amanang le marang-rang ebe re hlahloba bohle ba fumanehang ba amohelang litaba tse tšoanang. Sena se u nolofalletsa ho fumana libaka tsa khale tsa phishing tse neng li sebetsa empa li sa tsejoe, hammoho le tse ncha ka ho feletseng tse lokiselitsoeng litlhaselo tsa nakong e tlang, empa ha li e-s'o sebelisoe. Mohlala oa mantlha o etsahalang hangata: re fumane sebaka sa marang-rang sa phishing ho seva se nang le libaka tse 5 feela. Ka ho hlahloba e 'ngoe le e' ngoe ea tsona, re fumana litaba tsa phishing libakeng tse ling, ho bolelang hore re ka thibela 5 sebakeng sa 1.
Batla li-backends
Ts'ebetso ena ea hlokahala ho fumana hore na seva e kotsi e lula hokae.
99% ea mabenkele a likarete, liforomo tsa hacker, lisebelisoa tse ngata tsa phishing le li-server tse ling tse lonya li patiloe ka morao ho li-server tsa bona tsa proxy le li-proxies tsa lits'ebeletso tse molaong, mohlala, Cloudflare. Tsebo mabapi le backend ea 'nete ke ea bohlokoa haholo bakeng sa lipatlisiso: mofani oa moeti eo seva e ka ts'oaroang ho eona oa tsebahala,' me hoa khoneha ho theha maqhama le merero e meng e mpe.
Ka mohlala, u na le sebaka sa marang-rang sa phishing bakeng sa ho bokella lintlha tsa karete ea banka tse rarollang aterese ea IP 11.11.11.11, le aterese ea karete ea karete e rarollang aterese ea IP ea 22.22.22.22. Nakong ea tlhahlobo, ho ka 'na ha bonahala eka sebaka sa phishing le cardshop li na le aterese e tloaelehileng ea IP, mohlala, 33.33.33.33. Tsebo ena e re lumella ho theha kamano pakeng tsa litlhaselo tsa phishing le lebenkele la likarete moo lintlha tsa karete ea banka li ka rekisoang.
Kamano ea ketsahalo
Ha u e-na le lintho tse bakang tse peli tse fapaneng (ha re re ho IDS) e nang le malware a fapaneng le li-server tse fapaneng ho laola tlhaselo, u tla li nka e le liketsahalo tse peli tse ikemetseng. Empa haeba ho na le kamano e ntle pakeng tsa lisebelisoa tse mpe, joale hoa hlaka hore tsena ha se litlhaselo tse fapaneng, empa mekhahlelo ea tlhaselo e le 'ngoe, e rarahaneng haholoanyane ea mekhahlelo e mengata. 'Me haeba e' ngoe ea liketsahalo e se e ntse e bitsoa sehlopha leha e le sefe sa bahlaseli, joale ea bobeli e ka boela ea amahanngoa le sehlopha se le seng. Ha e le hantle, mokhoa oa ho fana o rarahane haholo, kahoo tšoara sena e le mohlala o bonolo.
Matlafatso ea sesupo
Re ke ke ra ela sena hloko haholo, kaha ona ke ona boemo bo atileng haholo ba ho sebelisa li-graph ho cybersecurity: o fana ka letšoao le le leng joalo ka tlhahiso, 'me joalo ka sephetho u fumana letoto la matšoao a amanang.
Ho khetholla mekhoa
Ho khetholla mekhoa ho bohlokoa bakeng sa ho tsoma ka katleho. Li-graph li u lumella hore u se ke ua fumana likarolo tse amanang le tsona feela, empa hape le ho khetholla thepa e tloaelehileng eo e leng tšobotsi ea sehlopha se itseng sa bahlaseli. Tsebo ea litšobotsi tse joalo tse ikhethang e u lumella ho lemoha lisebelisoa tsa mohlaseli esita le sethaleng sa ho itokisetsa le ntle le bopaki bo tiisang tlhaselo, joalo ka li-imeile tsa phishing kapa malware.
Hobaneng re iketselitse graph ea marang-rang ea rona?
Hape, re ile ra sheba litharollo ho tsoa ho barekisi ba fapaneng pele re fihlela qeto ea hore re hloka ho iketsetsa sesebelisoa sa rona se ka etsang ntho eo ho seng sehlahisoa se teng se ka se etsang. Ho ile ha nka lilemo tse 'maloa ho e theha, eo ka nako eo re ileng ra e fetola ka ho feletseng ka makhetlo a mangata. Empa, ho sa tsotellehe nako e telele ea tsoelo-pele, ha re e-s'o fumane analogue e le 'ngoe e ka khotsofatsang litlhoko tsa rona. Re sebelisa sehlahisoa sa rona, qetellong re khonne ho rarolla hoo e batlang e le mathata ohle ao re a fumaneng ho li-graph tsa marang-rang tse teng. Ka tlase re tla tšohla mathata ana ka botlalo:
bothata
u etsa qeto ea
Ho haella ha mofani ea nang le pokello e fapaneng ea data: libaka, DNS e sa sebetseng, SSL e sa sebetseng, lirekoto tsa DNS, likou tse bulehileng, lits'ebeletso tse sebetsang likoung, lifaele tse sebelisanang le mabitso a marang-rang le liaterese tsa IP. Tlhaloso. Ka tloaelo, bafani ba fana ka mefuta e fapaneng ea data, mme ho fumana setšoantšo se felletseng, o hloka ho reka lipeeletso ho motho e mong le e mong. Leha ho le joalo, ha se kamehla ho ka khonehang ho fumana lintlha tsohle: bafani ba bang ba SSL ba sa sebetseng ba fana ka datha feela mabapi le litifikeiti tse fanoeng ke li-CA tse tšepahalang, 'me tšireletso ea bona ea litifikeiti tse saenneng e fokola haholo. Ba bang ba boetse ba fana ka datha ba sebelisa litifikeiti tse saenneng, empa li bokelle feela ho tsoa likoung tse tloaelehileng.
Re ile ra bokella likoleke tsohle tse ka holimo ka borona. Mohlala, ho bokella lintlha mabapi le litifikeiti tsa SSL, re ngotse litšebeletso tsa rona tse li bokellang ho tsoa ho li-CA tse tšepahalang le ka ho hlahloba sebaka sohle sa IPv4. Litifikeiti ha lia bokelloa ho tsoa ho IP feela, empa hape le libakeng tsohle le li-subdomain ho tsoa ho database ea rona: haeba u na le domain example.com le subdomain ea eona. 'me kaofela ba ikemiselitse ho IP 1.1.1.1, joale ha u leka ho fumana setifikeiti sa SSL ho tloha port 443 ho IP, domain le subdomain ea eona, u ka fumana liphetho tse tharo tse fapaneng. Ho bokella datha boemakepe bo bulehileng le lits'ebeletso tse sebetsang, re ile ra tlameha ho iketsetsa sistimi ea rona ea ho skena e phatlalalitsoeng, hobane lits'ebeletso tse ling hangata li ne li e-na le liaterese tsa IP tsa li-server tsa bona "mathathamong a matšo." Li-server tsa rona tsa ho skena le tsona li qetella li le mananeng a batho ba thibetsoeng, empa sephetho sa ho bona litšebeletso tseo re li hlokang li phahame ho feta tsa ba shebang likou tse ngata kamoo ho ka khonehang ebe ba rekisa phihlello ea data ena.
Khaello ea phihlello polokelong eohle ea lirekoto tsa nalane. Tlhaloso. Mofani e mong le e mong ea tloaelehileng o na le nalane e ntle e bokelletsoeng, empa ka mabaka a tlhaho rona, joalo ka moreki, re ne re sa khone ho fumana lintlha tsohle tsa nalane. Tseo. U ka fumana nalane eohle bakeng sa rekoto e le 'ngoe, mohlala, ka domain kapa aterese ea IP, empa u ke ke ua bona nalane ea tsohle - mme ntle le sena u ke ke ua bona setšoantšo se felletseng.
Ho bokella lirekoto tse ngata tsa nalane ho li-domain kamoo ho ka khonehang, re ile ra reka li-database tse fapaneng, ra arola lisebelisoa tse ngata tse bulehileng tse neng li e-na le nalane ena (ho molemo hore ebe ho ne ho e-na le tse ngata tsa tsona), mme ra buisana le bangolisi ba mabitso a domain. Lintlafatso tsohle tsa pokello ea rona li bolokiloe ka nalane e felletseng ea ntlafatso.
Litharollo tsohle tse teng li u lumella ho etsa kerafo ka letsoho. Tlhaloso. Ha re re u rekile lipeeletso tse ngata ho tsoa ho bafani bohle ba ka khonehang ba data (hangata ba bitsoa "ba ntlafatsang"). Ha o hloka ho haha graph, uena "matsoho" u fana ka taelo ea ho haha ho tloha nthong e lakatsehang ea ho hokahanya, ebe u khetha tse hlokahalang ho tsoa ho likarolo tse hlahang le ho fana ka taelo ea ho tlatsa likamano tse tsoang ho tsona, joalo-joalo. Tabeng ena, boikarabelo ba hore na kerafo e tla hahoa hantle hakae, ke motho ka ho feletseng.
Re ile ra etsa li-graph ka boiketsetso. Tseo. haeba o hloka ho aha graph, joale likhokahano tse tsoang nthong ea pele li hahiloe ka bo eona, ebe ho tsoa ho tse latelang, hape. Setsebi se bontša feela botebo boo graph e lokelang ho hahoa ho bona. Ts'ebetso ea ho tlatsa li-graph ka bo eona e bonolo, empa barekisi ba bang ha ba e sebelise hobane e hlahisa palo e kholo ea liphetho tse sa sebetseng, hape re ile ra tlameha ho ela hloko bothata bona (sheba ka tlase).
Liphetho tse ngata tse sa sebetseng ke bothata ba li-graph tsa likarolo tsohle tsa marang-rang. Tlhaloso. Ka mohlala, "domain e mpe" (e kentsoeng tlhaselong) e amahanngoa le seva e nang le libaka tse ling tsa 10 tse amanang le eona lilemong tse fetileng tsa 500. Ha o eketsa ka letsoho kapa o iketsetsa graph, libaka tsena tsohle tsa 500 li lokela ho hlaha hape ho graph, le hoja li sa amane le tlhaselo. Kapa, ka mohlala, u sheba letšoao la IP ho tsoa tlalehong ea tšireletso ea morekisi. Ka tloaelo, litlaleho tse joalo li lokolloa ka tieho e kholo 'me hangata li nka selemo kapa ho feta. Ho ka etsahala hore ebe ha u bala tlaleho, seva e nang le aterese ena ea IP e se e hiriloe ho batho ba bang ba nang le likhokahano tse ling, 'me ho haha graph ho tla etsa hore u fumane liphello tse sa hlokahaleng.
Re koetlisitse sistimi ho tseba lintho tse sa sebetseng re sebelisa mohopolo o tšoanang le oo litsebi tsa rona li o entseng ka letsoho. Ka mohlala, u sheba sebaka se sebe sa mohlala.com, seo hona joale se rarollang ho IP 11.11.11.11, le khoeling e fetileng - ho IP 22.22.22.22. Ho phaella ho domain example.com, IP 11.11.11.11 e boetse e amahanngoa le mohlala.ru, 'me IP 22.22.22.22 e amahanngoa le libaka tse ling tse likete tse 25. Sistimi, joalo ka motho, e utloisisa hore 11.11.11.11 e kanna ea ba seva e inehetseng, 'me kaha domain name ea mohlala.ru e tšoana le mopeleto ho example.com, joale, ka monyetla o moholo, li hokahane mme li lokela ho ba teng. kerafo; empa IP 22.22.22.22 ke ea moamoheli o arolelanoang, kahoo libaka tsohle tsa eona ha li hloke ho kenyelletsoa graph ntle le haeba ho na le likhokahano tse ling tse bontšang hore e 'ngoe ea libaka tsena tse likete tse 25 le eona e hloka ho kenyelletsoa (mohlala, mohlala.net) . Pele tsamaiso e utloisisa hore likhokahano li hloka ho robeha 'me likarolo tse ling li se ke tsa fallisetsoa kerafong, e ela hloko litšobotsi tse ngata tsa likarolo le lihlopha tseo likarolo tsena li kopantsoeng ho tsona, hammoho le matla a likhokahano tsa hona joale. Ka mohlala, haeba re e-na le sehlopha se senyenyane (lintlha tse 50) ho kerafo, e kenyelletsang sebaka se sebe, le sehlopha se seng se seholo (lintho tse likete tse 5) le lihlopha tse peli li kopantsoe ke khokahanyo (mohala) ka matla a tlaase haholo (boima). , joale khokahano e joalo e tla robeha 'me likarolo tse tsoang sehlopheng se seholo li tla tlosoa. Empa haeba ho na le likamano tse ngata pakeng tsa lihlopha tse nyenyane le tse kholo 'me matla a tsona a ntse a eketseha butle-butle, joale tabeng ena khokahanyo e ke ke ea robeha' me lintho tse hlokahalang tse tsoang lihlopha ka bobeli li tla sala ho graph.
Seva le nako ea ho ba beng ba domain ha e tsejoe. Tlhaloso. "Libaka tse mpe" haufinyane li tla felloa ke nako 'me li rekoe hape ka sepheo se kotsi kapa se nepahetseng. Esita le li-server tse amohelang li-bulletproof li hiriloe ho linokoane tse fapaneng, kahoo ho bohlokoa ho tseba le ho ela hloko nako eo sebaka se itseng sa marang-rang / seva se neng se le tlas'a taolo ea mong'a a le mong. Re atisa ho kopana le boemo boo seva se nang le IP 11.11.11.11 se seng se sebelisoa e le C & C bakeng sa bot ea banka, 'me likhoeli tse 2 tse fetileng e ne e laoloa ke Ransomware. Haeba re theha khokahanyo ntle le ho ela hloko linako tsa beng ba akhaonto, ho tla bonahala eka ho na le kamano pakeng tsa beng ba botnet ea banka le ransomware, le hoja ha e le hantle ha e eo. Mosebetsing oa rona, phoso e joalo ke ea bohlokoa.
Re ile ra ruta mokhoa oa ho khetholla linako tsa beng. Bakeng sa libaka sena se batla se le bonolo, hobane hangata whois e na le matsatsi a qalang le matsatsi a ho qetela a ngoliso, 'me ha ho na le histori e feletseng ea liphetoho tsa whois, ho bonolo ho tseba nako. Ha ngoliso ea domain e e-s'o fele, empa tsamaiso ea eona e fetiselitsoe ho beng ba bang, e ka boela ea lateloa. Ha ho na bothata bo joalo bakeng sa litifikeiti tsa SSL, hobane li ntšoa hanngoe 'me ha li nchafatsoe kapa tsa fetisoa. Empa ka litifikeiti tse saenneng, u ke ke ua tšepa matsatsi a boletsoeng nakong ea ho nepahala ha setifikeiti, hobane u ka hlahisa setifikeiti sa SSL kajeno, 'me u hlalose letsatsi la ho qala ha setifikeiti ho tloha ka 2010. Ntho e thata ka ho fetisisa ke ho tseba nako ea beng ba li-server, hobane ke bafani ba baeti feela ba nang le matsatsi le linako tsa ho hira. Ho tseba nako ea beng ba seva, re ile ra qala ho sebelisa liphetho tsa tlhahlobo ea boema-kepe le ho theha menoana ea lits'ebeletso tse sebetsang likoung. Ha re sebelisa tlhahisoleseling ena, re ka bua ka nepo ha mong'a seva a fetohile.
Lihokelo tse fokolang. Tlhaloso. Matsatsing ana, ha se bothata ho fumana lethathamo la mahala la libaka tseo whois e nang le aterese e itseng ea lengolo-tsoibila, kapa ho fumana libaka tsohle tse amanang le aterese e itseng ea IP. Empa ha ho tluoa ho linokoane tse etsang sohle se matleng a tsona ho ba thata ho li latela, re hloka maqheka a eketsehileng ho fumana thepa e ncha le ho aha likhokahano tse ncha.
Re qetile nako e ngata re ntse re etsa lipatlisiso tsa hore na re ka ntša lintlha joang tse neng li sa fumanehe ka mokhoa o tloaelehileng. Ha re khone ho hlalosa mona hore na e sebetsa joang ka mabaka a totobetseng, empa tlas'a maemo a itseng, barekisi, ha ba ngolisa libaka kapa ba hira le ho theha li-server, ba etsa liphoso tse ba lumellang ho fumana liaterese tsa imeile, li-aliases tsa hacker, le liaterese tsa backend. Ha u ntse u hula lihokelo tse ngata, u ka etsa li-graph tse nepahetseng haholoanyane.
Kamoo graph ea rona e sebetsang kateng
Ho qala ho sebelisa graph ea marang-rang, o hloka ho kenya sebaka sa marang-rang, aterese ea IP, lengolo-tsoibila, kapa setifikeiti sa SSL monoana oa letsoho bareng ea ho batla. Ho na le maemo a mararo ao mohlahlobi a ka a laolang: nako, botebo ba mohato, le ho hlaka.
Nako
Nako - letsatsi kapa nako eo ntho e batlisisitsoeng e neng e sebelisetsoa merero e kotsi. Haeba u sa hlalose paramethara ena, sistimi ka boeona e tla khetha nako ea ho qetela ea mong'a sesebelisoa sena. Ka mohlala, ka July 11, Eset e hatisitsoe mabapi le kamoo Buhtrap e sebelisang tlhekefetso ea matsatsi a 0 bakeng sa bohloela ba cyber. Ho na le matšoao a 6 qetellong ea tlaleho. E 'ngoe ea tsona, security-telemetry[.]net, e ngolisitsoe hape ka la 16 Phupu. Ka hona, haeba u etsa kerafo ka mor'a July 16, u tla fumana liphetho tse sa lokelang. Empa haeba u bontša hore sebaka sena se sebelisitsoe pele ho letsatsi lena, joale kerafo e kenyelletsa libaka tse ncha tse 126, liaterese tsa IP tse 69 tse sa thathamisitsoeng tlalehong ea Eset:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-world[.] info
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.] info
- rian-ua[.] letlooa
- le ba bang.
Ntle le matšoao a marang-rang, hang-hang re fumana likhokahano le lifaele tse mpe tse neng li e-na le likhokahano le lisebelisoa tsena le li-tag tse re bolellang hore Meterpreter le AZORult li sebelisitsoe.
Ntho e ntle ke hore u fumana sephetho sena ka motsotsoana o le mong 'me ha ho sa hlokahala hore u qete matsatsi u hlahloba lintlha. Ha e le hantle, mokhoa ona ka linako tse ling o fokotsa haholo nako ea lipatlisiso, tseo hangata li leng bohlokoa haholo.
Palo ea mehato kapa botebo ba ho khutla boo graph e tla hahoa ka bona
Ka ho feletseng, botebo ke 3. Sena se bolela hore likarolo tsohle tse amanang ka ho toba li tla fumanoa ho tloha nthong e lakatsehang, ebe likhokahano tse ncha li tla hahoa ho tloha nthong e 'ngoe le e' ngoe e ncha ho ea ho tse ling, 'me likarolo tse ncha li tla bōptjoa ho tloha ho tse ncha ho tloha ho ea ho qetela. mohato.
Ha re nke mohlala o sa amaneng le APT le liketso tsa matsatsi a 0. Haufinyane tjena, nyeoe e thahasellisang ea bomenemene e amanang le chelete ea crypto e hlalositsoe ho Habré. Tlaleho e bua ka domain themcx[.]co, e sebelisoang ke scammers ho amohela sebaka sa marang-rang se ipolelang hore ke Miner Coin Exchange le ho sheba mohala[.]xyz ho hohela sephethephethe.
Ho hlakile ho tsoa tlhalosong hore morero ona o hloka meralo ea motheo e batlang e le kholo ho hohela sephethephethe ho mehloli ea bomenemene. Re nkile qeto ea ho sheba lits'ebetso tsena ka ho aha graph ka mehato ea 4. Sephetho e ne e le graph e nang le libaka tse 230 le liaterese tse 39 tsa IP. Ka mor'a moo, re arola libaka ka mekhahlelo ea 2: tse tšoanang le lits'ebeletso tsa ho sebetsa ka li-cryptocurrensets le tse reretsoeng ho khanna sephethephethe ka lits'ebeletso tsa netefatso ea mohala:
E amanang le chelete ea crypto
E amahanngoa le lits'ebeletso tsa ho phunya fono
mohlokomeli oa lichelete[.]cc
rekoto ea moletsi[.] sebaka.
mcxwallet[.]co
lirekoto tsa mohala[.]sebaka
btcnoise[.]com
fone-uncover[.]xyz
cryptominer[.] shebella
nomoro-utlolla[.]litaba
Ho hloekisa
Ka nako e sa lekanyetsoang, khetho ea "Graph Cleanup" e ea lumelloa 'me likarolo tsohle tse sa hlokahaleng li tla tlosoa graph. Ka tsela, e ne e sebelisoa mehlaleng eohle e fetileng. Ke bona esale pele potso ea tlhaho: re ka etsa bonnete ba hore ntho ea bohlokoa ha e hlakoloe joang? Ke tla araba: bakeng sa bahlahlobisisi ba ratang ho haha li-graph ka letsoho, ho hloekisa ka mokhoa o itekanetseng ho ka holofala 'me palo ea mehato e ka khethoa = 1. Ka mor'a moo, mohlahlobi o tla khona ho tlatsa graph ho tloha linthong tseo a li hlokang le ho tlosa likarolo ho tloha kerafo e sa amaneng le mosebetsi.
E se e ntse e le ho graph, histori ea liphetoho ho whois, DNS, hammoho le likou tse bulehileng le litšebeletso tse sebetsang ho tsona li fumaneha ho mohlahlobi.
Phishing ea lichelete
Re fuputsa mesebetsi ea sehlopha se le seng sa APT, seo ka lilemo tse 'maloa se ileng sa etsa litlhaselo tsa phishing khahlanong le bareki ba libanka tse fapaneng libakeng tse fapaneng. Tšobotsi e ikhethang ea sehlopha sena e ne e le ho ngolisoa ha libaka tse tšoanang haholo le mabitso a libanka tsa sebele, 'me boholo ba libaka tsa phishing li ne li e-na le moralo o tšoanang, phapang feela e le mabitso a libanka le li-logos tsa tsona.
Tabeng ena, tlhahlobo ea graph e ikemetseng e re thusitse haholo. Ho nka e 'ngoe ea libaka tsa bona - lloydsbnk-uk[.]com, ka metsotsoana e seng mekae re ile ra haha graph e nang le mehato e 3 e tebileng, e ileng ea khetholla libaka tse fetang 250 tse mpe tse' nileng tsa sebelisoa ke sehlopha sena ho tloha 2015 'me li ntse li tsoela pele ho sebelisoa. . Tse ling tsa libaka tsena li se li rekiloe ke libanka, empa litlaleho tsa histori li bontša hore pele li ne li ngolisitsoe ho bahlaseli.
Bakeng sa ho hlaka, setšoantšo se bontša graph e nang le botebo ba mehato e 2.
Hoa hlokomeleha hore e se e ntse e le ka selemo sa 2019, bahlaseli ba ile ba fetola maqheka a bona ka mokhoa o itseng mme ba qala ho ngolisa eseng feela libaka tsa libanka bakeng sa ho amohela phishing ea webo, empa le libaka tsa lik'hamphani tse fapaneng tsa boeletsi bakeng sa ho romella mangolo-tsoibila a phishing. Mohlala, libaka tsa swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Sehlopha sa Cobalt
Ka December 2018, sehlopha sa barekisi ba marang-rang sa Cobalt, se sebetsanang le litlhaselo tse lebisitsoeng ho libanka, se ile sa romela letšolo la poso lebitsong la Banka ea Naha ea Kazakhstan.
Mangolo a ne a na le likhokahano tsa hXXps://nationalbank.bz/Doc/Prikaz.doc. Tokomane e jarollotsoeng e ne e na le macro e hlahisitseng Powershell, e neng e tla leka ho kenya le ho kenya faele ho tsoa ho hXXp://wateroilclub.com/file/dwm.exe ho %Temp%einmrmdmy.exe. Faele %Temp%einmrmdmy.exe aka dwm.exe ke sethala sa CobInt se lokiselitsoeng ho sebelisana le seva hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Ak'u inahanele u sa khone ho fumana mangolo-tsoibila ana a phishing le ho etsa tlhahlobo e felletseng ea lifaele tse kotsi. Kerafo ea sebaka se kotsi sa nationalbank[.]bz hang-hang e bonts'a likhokahano le libaka tse ling tse lonya, e e hlalosa ho sehlopha 'me e bontša hore na ke lifaele life tse sebelisitsoeng tlhaselong.
Ha re nke aterese ea IP 46.173.219[.]152 ho tsoa kerafong ena 'me re hahe kerafo ho eona ka tsela e le' ngoe ebe re tima ho hloekisa. Ho na le libaka tse 40 tse amanang le eona, mohlala, bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Ho ahlola ka mabitso a marang-rang, ho bonahala eka li sebelisoa mererong ea bolotsana, empa algorithm ea ho hloekisa e ile ea hlokomela hore e ne e sa amane le tlhaselo ena 'me ha ea ka ea e beha holim'a kerafo, e leng ho nolofatsang haholo mokhoa oa ho hlahloba le ho fana.
Haeba u tsosolosa graph ka ho sebelisa banka ea naha [.] bz, empa u thibela algorithm ea ho hloekisa kerafo, e tla ba le likarolo tse fetang 500, tseo boholo ba tsona li sa amaneng le sehlopha sa Cobalt kapa litlhaselo tsa bona. Mohlala oa hore na graph e joalo e shebahala joang e fanoe ka tlase:
fihlela qeto e
Kamora lilemo tse 'maloa tsa tokiso e ntle, liteko tsa lipatlisiso tsa 'nete, lipatlisiso tsa litšokelo le ho tsoma bahlaseli, ha rea ka ra khona ho theha sesebelisoa se ikhethileng feela, empa hape le ho fetola maikutlo a litsebi ka har'a k'hamphani mabapi le eona. Qalong, litsebi tsa tekheniki li batla taolo e felletseng holim'a ts'ebetso ea kaho ea kerafo. Ho ba kholisa hore ho etsa kerafo e itšebetsang ho ka etsa sena hamolemo ho feta motho ea nang le phihlelo ea lilemo tse ngata ho ne ho le boima haholo. Ntho e 'ngoe le e' ngoe e ile ea etsoa qeto ka nako le licheke tse ngata tsa "manual" tsa liphello tsa seo graph e se hlahisitseng. Hona joale litsebi tsa rona ha li tšepe tsamaiso feela, empa hape li sebelisa liphello tseo e li fumanang mosebetsing oa tsona oa letsatsi le letsatsi. Theknoloji ena e sebetsa ka har'a tsamaiso e 'ngoe le e 'ngoe ea rona 'me e re lumella ho tseba hantle litšokelo tsa mofuta ofe kapa ofe. Khokahano ea tlhahlobo ea kerafo ea matsoho e hahiloe ka har'a lihlahisoa tsohle tsa Sehlopha-IB mme e holisa haholo bokhoni ba ho tsoma botlokotsebe ba marang-rang. Sena se tiisoa ke maikutlo a bahlahlobisisi ho tsoa ho bareki ba rona. 'Me rona, ka lehlakoreng le leng, re tsoela pele ho ntlafatsa kerafo ka data le ho sebetsa ho li-algorithms tse ncha re sebelisa bohlale ba maiketsetso ho etsa graph ea marang-rang e nepahetseng ka ho fetisisa.
Source: www.habr.com
